venerdì 14 gennaio 2011

Aggiornamento prioritario di sicurezza per Google Chrome


Google ha rilasciato la versione 8.0.552.237 del browser Chrome per tutte le piattaforme. L'aggiornamento è considerato assolutamente prioritario. In totale sono stati corretti 16 problemi di sicurezza con altrettante patch, due delle quali sono state valutate con un rischio medio, tredici elevato e una critica. La falla critica è un vecchio puntatore nella gestione delle parole e la sua scoperta è attribuita al regolare collaboratore della sicurezza Chrome Sergey Glazunov. Il ritrovamento ha fatto guadagnare al signor Glazunov 3.133,7 dollari (elite), il premio più alto da quando il programma bug di Google Chrome è stato lanciato un anno fa. 

"Siamo lieti di offrire la nostra prima ricompensa "elite" Chromium Security Reward di $ 3,133.7  a Sergey Glazunov. I bug critici sono più difficili da trovare in Chrome, ma Sergey l'ha fatto", scrive il team di Google Chrome. Inoltre, il ricercatore ha vinto un premio "leet" di 1.337 dollari per un problema ad alto rischio che riguarda la cattiva gestione del puntatore nell'iterazione nodo, così come 1.000 dollari ciascuno per tre altre vulnerabilità ad alto rischio. Questo porta le retribuzioni bug totali di Mr. Glazunov a quasi 7.500 dollari, che è un record per i soldi guadagnati da un singolo ricercatore in un unico comunicato Chrome. Altri cacciatori di bug regolari come Kuzzcc e Aki Helin dell'Università di Oulu Secure Programming Group (OUSPG) sono stati anche indicati per scoprire i difetti corretti da questa versione.

  1. [ 58.053 ] Media - crash del browser nella gestione delle estensioni di notifica. (Eric romana della comunità di sviluppo di Chromium).
  2. [$ 1 3 3 7 ] [ 65.764 ] Alta - manipolazione puntatore Bad iterazione nodo. (Sergey Glazunov).
  3. [ 66.334 ] Alta - blocco durante la stampa di pagine PDF multipagina. (Google Chrome Security Team -Chris Evans).
  4. [$ 1000 ] [ 66.560 ] Alta  - puntatore non aggiornato con i CSS + cavans. (Sergey Glazunov).
  5. [$ 500 ] [ 66.748 ] Alta - puntatore non aggiornato con i CSS + cursori. (Jan Tošovský).
  6. [ 67.100 ] Alta - Gestione libera delle pagine PDF. (Google Chrome Security Team - Chris Evans).
  7. [$ 1000 ] [ 67.208 ] Alta - Corruzione dello stack dopo PDF out-of-memory. (Jared Allar del CERT).
  8. [$ 1000 ] [ 67.303 ] Alta - Cattivo accesso di memoria video con dimensioni di frame non corrispondenti. (Aki Helin di OUSPG); scoperta più indipendente da parte di Google Chrome Security Team (SkyLined) e David Warren del CERT.
  9. [$ 500 ] [ 67.363 ] Alta - puntatore raffermo con elemento che utilizza SVG. (Accredito anonimo; più scoperta indepdent da miaubiz).
  10. [$ 1000 ] [ 67.393 ] Media - puntatore non inizializzato nel browser innescato da estensione canaglia. (Kuzzcc).
  11. [$ 1000 ] [ 68.115 ] Alta - Vorbis decoder buffer overflow. (David Warren del CERT).
  12. [$ 1000 ] [ 68.170 ] Alta - Buffer overflow nel PDF shading. (Aki Helin di OUSPG).
  13. [$ 1000 ] [ 68.178 ] Alta - cattiva espressione nell'ancoraggio handling. (Sergey Glazunov).
  14. [$ 1000 ] [ 68.181 ] Alta  - cattiva espressione nella gestione video. (Sergey Glazunov).
  15. [$ 1000 ] [ 68.439 ] Alta - nodo stale di rendering dopo la rimozione del nodo DOM. (Martin Barbella; scoperta più indipendente da parte di Google Chrome Security Team - SkyLined).
  16. [$ 3133,7 ] [ 68.666 ] Critica - puntatore raffermo nella gestione speech handling. (Sergey Glazunov).
http://build.chromium.org/
Informazioni dettagliate sulle modifiche di Chrome sono disponibili nel registro di revisione SVN. Se trovate nuove emissioni, fatelo sapere al team di chrome sul deposito di un bug. Se desiderate passare ad un altro canale di rilascio di Chrome collegatevi a questa pagina. Per verificare la versione in possesso andate sulla chiave inglese / Informazioni Google Chrome. Per fare in modo che gli utenti siano sempre protetti dagli aggiornamenti di protezione più recenti, Google Chrome si aggiorna automaticamente ogni volta che rileva che è disponibile una nuova versione del browser. La procedura di aggiornamento avviene in background e non richiede alcun intervento da parte dell'utente. Gli aggiornamenti sono disponibili quando l'icona della chiave inglese mostra un piccolo punto arancione. Nel caso di procedura manuale:
  • L'ultima versione di Google Chrome per Windows può essere scaricata da qui
  • L'ultima versione di Google Chrome per Linux può essere scaricata da qui
  • L'ultima versione di Google Chrome per Mac può essere scaricata da qui
Delle sedici vulnerabilità affrontate, solo tre non sono state accompagnate da alcuna ricompensa, perché sono state scoperti dai membri del Google Security Team o la comunità di sviluppo di Chromium. Google rileva inoltre che alcuni ricercatori di sicurezza che possono beneficiare di un premio non possono o non desiderano riceverlo. In tali casi il denaro viene donato a una organizzazione di carità di loro scelta o alla Croce Rossa, se non fanno alcun suggerimento.

Nessun commento:

Posta un commento